Onderzoekers van cyberbeveiligingsbedrijf SentinelOne reconstrueerden de recente cyberaanval op het Iraanse treinsysteem in een nieuw rapport, waarbij ze een nieuwe dreigingsactor blootlegden — die ze 'MeteorExpresss' noemden — en een nooit eerder vertoonde wisser.
Op 9 juli begonnen lokale nieuwszenders te berichten over een cyberaanval gericht op het Iraanse treinsysteem, waarbij hackers beeldschermen in treinstations bekladden door passagiers te vragen '64411' te bellen, het telefoonnummer van het kantoor van de Iraanse Opperste Leider Khamenei.
Treindiensten werden verstoord en slechts een dag later haalden hackers de website van het Iraanse ministerie van Transport neer. Volgens Reuters zijn de portaalsites en subportaalsites van het ministerie uitgevallen na de aanval op computers van het ministerie van Wegen en Stedelijke Ontwikkeling.
Hackers namen op 9 juli schermen in Iraanse treinstations over en gaven het telefoonnummer 64411– het nummer van Iran's Supreme Leiders kantoor.
Fars Nieuws
Tijdens zijn onderzoek legde Juan Andres Guerrero-Saade, hoofdanalist van SentinelOne, uit dat de mensen achter de aanval de nooit eerder vertoonde wisser 'Meteor' noemden en deze in de afgelopen drie jaar ontwikkelden.
“Op dit moment hebben we deze activiteit niet kunnen koppelen aan een eerder geïdentificeerde dreigingsgroep of aan aanvullende aanvallen”, zei Guerrero-Saade, eraan toevoegend dat ze de aanval konden reconstrueren dankzij de beveiliging onderzoeker Anton Cherepanov en een Iraans antivirusbedrijf.
“Ondanks een gebrek aan specifieke indicatoren van compromis, waren we in staat om de meeste van de aanvalscomponenten die in de post worden beschreven te herstellen, samen met extra componenten die ze hadden gemist. Achter dit bizarre verhaal van gestopte treinen en glibberige trollen, vonden we de vingerafdrukken van een onbekende aanvaller.”
Guerrero-Saade zei dat de vroege analyse van Padvish-beveiligingsonderzoekers de sleutel was tot de reconstructie van SentinelOne, naast “een hersteld artefact van een aanvaller met een langere lijst met namen van componenten.”
“De aanvallers misbruikten Groepsbeleid om een cab-bestand te verspreiden om hun aanval uit te voeren. De algehele toolkit bestaat uit een combinatie van batchbestanden die verschillende componenten orkestreren die uit RAR-archieven zijn verwijderd”, legt Guerrero-Saade uit.
“De archieven zijn gedecomprimeerd met een door een aanvaller geleverde kopie van Rar.exe in combinatie met het wachtwoord 'hackemall'. De wipercomponenten zijn gesplitst op functionaliteit: Meteor versleutelt het bestandssysteem op basis van een versleutelde configuratie, nti.exe corrumpeert de MBR, en mssetup.exe vergrendelt het systeem.”
SentinelOne ontdekte dat het grootste deel van de aanval “georkestreerd was via een reeks batchbestanden die naast hun respectieve componenten waren genest en in opeenvolgende uitvoeringen aan elkaar werden geketend”.
Het batchbestand kopieert de initiële componenten via een CAB-bestand naar een netwerkshare binnen het Iraanse spoorwegnet, aldus het rapport. Van daaruit gebruikt het batchbestand zijn eigen exemplaar van WinRAR om extra componenten uit drie extra archieven te decomprimeren die een wachtwoord met een Pokemon-thema gebruiken, “hackeall”, waarnaar ook elders tijdens de aanval werd verwezen.
“Op dit punt begint de uitvoering zich te splitsen in andere scripts. De eerste is 'cache.bat', dat zich richt op het opruimen van obstakels en het voorbereiden van de grond voor volgende elementen met behulp van Powershell,” Guerrero – zei Saade.
“'cache.bat' voert drie hoofdfuncties uit. Ten eerste zal het het geïnfecteerde apparaat loskoppelen van het netwerk. Daarna controleert het of Kaspersky antivirus op de machine is geïnstalleerd, in welk geval het zal afsluiten. Ten slotte 'cache.bat'. bat' zal Windows Defender-uitsluitingen maken voor al zijn componenten, waardoor effectief de weg wordt vrijgemaakt voor een succesvolle infectie zonder belemmeringen.”
Het rapport legde uit dat dit specifieke script leerzaam was bij het opnieuw opbouwen van de aanvalsketen, omdat het een lijst bevat van de aanvalscomponenten die onderzoekers specifieke dingen gaven om naar te zoeken.
Er worden twee batchbestanden geïmplementeerd die ervoor zorgen dat de machine niet meer kan opstarten en de gebeurtenislogboeken opschonen. Na een aantal andere acties zal update.bat dan 'msrun.bat' aanroepen, wat “het uitvoerbare bestand van Meteor wiper als parameter” doorgeeft.
Een ander batchbestand — msrun.bat — beweegt in een schermvergrendeling en de gecodeerde configuratie voor de Meteor-wisser, legde Guerrero-Saade uit. Een geplande taak wordt gemaakt door het script 'mstask' dat vervolgens wordt ingesteld om de Meteor-wisser om vijf minuten voor middernacht uit te voeren.
“Er is een vreemd niveau van fragmentatie in de algehele toolkit. Batchbestanden spawnen andere batchbestanden, verschillende rar-archieven bevatten onderling vermengde uitvoerbare bestanden, en zelfs de beoogde actie is opgedeeld in drie payloads: Meteor wist het bestandssysteem, mssetup.exe sluit de gebruiker uit, en nti.exe corrumpeert vermoedelijk de MBR”, schreef Guerrero-Saade.
“De belangrijkste lading van deze ingewikkelde aanvalsketen is een uitvoerbaar bestand dat onder 'env.exe' of 'msapp.exe' valt. Intern noemen de codeurs het 'Meteor'. Terwijl dit specifieke exemplaar van Meteor lijdt aan een verlammende OPSEC-fout (de toevoeging van uitgebreide debug-strings die vermoedelijk bedoeld zijn voor interne tests), het is een extern configureerbare wiper met een uitgebreide set functies.”
De Meteor wiper, volgens het rapport, wordt geleverd met een enkel argument, een versleuteld JSON-configuratiebestand 'msconf.conf.'
Meteor wist bestanden terwijl het de versleutelde configuratie verlaat, verwijdert schaduwkopieën en haalt een machine uit een domein om herstel te bemoeilijken. Volgens het rapport hebben deze slechts het oppervlak bekrast van waartoe Meteor in staat is.
Hoewel niet gebruikt bij de aanval op het Iraanse treinstation, kan de wisser wachtwoorden voor alle gebruikers wijzigen, screensavers uitschakelen, procesbeëindiging op basis van een lijst met doelprocessen, een schermvergrendeling installeren, herstelmodus uitschakelen, foutafhandeling van opstartbeleid wijzigen , maak planningstaken, meld lokale sessies af, verwijder schaduwkopieën, verander vergrendelschermafbeeldingen en voer eisen uit.
Guerrero-Saade merkte op dat de ontwikkelaars van de wiper meerdere manieren bedachten waarop de wiper elk van deze taken kon uitvoeren
“De operators hebben echter duidelijk een grote fout gemaakt bij het compileren van een binair bestand met een schat aan debug-strings die voor interne tests. Dit laatste is een indicatie dat ondanks de geavanceerde praktijken die de ontwikkelaars in hun arsenaal hebben, ze geen robuuste implementatiepijplijn hebben die ervoor zorgt dat dergelijke fouten niet gebeuren. Merk bovendien op dat dit voorbeeld zes maanden vóór de implementatie is samengesteld en de fout werd niet opgemerkt”, aldus het rapport.
“Ten tweede is de code een bizarre amalgaam van aangepaste code die open-sourcecomponenten (cpp-httplib v0.2) en praktisch oude misbruikte software (FSProLabs' Lock My PC 4) omvat. Hoewel dat zou kunnen suggereren dat de Meteor-wisser is gebouwd wegwerpbaar zijn, of bedoeld zijn voor een enkele bewerking, dat wordt afgewisseld met een extern configureerbaar ontwerp dat efficiënt hergebruik voor verschillende bewerkingen mogelijk maakt.”
Toen SentinelOne-onderzoekers dieper in Meteor duiken, ontdekten ze dat de overtolligheden het bewijs waren dat de wisser is gemaakt door meerdere ontwikkelaars die verschillende componenten hebben toegevoegd.
Het rapport voegde eraan toe dat het “extern configureerbare karakter van de wisser” aantoont dat het niet voor deze specifieke operatie is gemaakt. Ze hebben nog geen andere aanvallen of varianten van de Meteor-wisser in het wild gezien.
Onderzoekers waren niet in staat om de aanval toe te schrijven aan een specifieke dreigingsactor, maar legden uit dat de aanvaller een “gemiddelde speler is wiens verschillende operationele componenten sterk schommelen van onhandig en rudimentair tot glad en goed ontwikkeld.”
“Aan de ene kant hebben we een nieuwe extern configureerbare wiper boordevol interessante mogelijkheden, met een volwassen ontwikkelingsproces en overbodige middelen om hun doelen te bereiken. Zelfs hun batchscripts bevatten uitgebreide foutcontrole, een functie die je zelden tegenkomt met implementatiescripts Hun aanval is ontworpen om de systemen van het slachtoffer te verlammen, zodat er geen beroep meer kan worden gedaan op eenvoudig herstel via domeinbeheer of herstel van schaduwkopieën”, schreef Guerrero-Saade.
“Aan de andere kant zien we een tegenstander die nog geen greep heeft op hun implementatiepijplijn, die een voorbeeld van hun malware gebruikt die uitgebreide debug-functies en brandfunctionaliteit bevat die niet relevant zijn voor deze specifieke operatie. ”
Guerrero-Saade gaat verder met te zeggen dat SentinelOne “nog niet de vorm van deze tegenstander door de mist kan onderscheiden” en theoretiseert dat het “een gewetenloze huurlingengroep” is of door de staat gesteunde acteurs met verschillende motieven.
Hoewel ze de aanval niet konden toeschrijven, merkten ze op dat de aanvallers bekend leken te zijn met de algemene opzet van het Iraanse spoorwegsysteem en de Veeam-back-up die door het doelwit werd gebruikt. systeem voordat u een aanval start.
Ten tijde van de aanval hebben Iraanse functionarissen niet bevestigd of er losgeld werd geëist of wie volgens hen achter de aanval zat, meldde Reuters.
The Times of Israel merkte op dat Iran na de beruchte Stuxnet-aanval in 2010 belangrijke delen van zijn infrastructuur van internet had losgekoppeld.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Overheidsbeveiliging TV-gegevensbeheer CXO-datacenters 